Pagina principal Seguridad Lo que podemos aprender de los desafíos de seguridad y privacidad en línea de 2015

Lo que podemos aprender de los desafíos de seguridad y privacidad en línea de 2015

  • Lesley Fowler
  • 0
  • 2117
  • 484
Anuncio

A medida que nos acercamos al precipicio de 2016, tomemos un minuto para reflexionar sobre las lecciones de seguridad que aprendimos en 2015. De Ashley Madison Ashley Madison Leak ¿No es gran cosa? Piense de nuevo Ashley Madison Fuga ¿No es gran cosa? El sitio de citas en línea discreto Ashley Madison (dirigido principalmente a los cónyuges infieles) ha sido pirateado. Sin embargo, este es un problema mucho más grave de lo que se ha retratado en la prensa, con considerables implicaciones para la seguridad del usuario. , a hackeados hervidores de agua 7 razones por las cuales el Internet de las cosas debería asustarte 7 razones por las que el Internet de las cosas debería asustarte Los beneficios potenciales de Internet de las cosas se vuelven brillantes, mientras que los peligros se proyectan en las sombras silenciosas. Es hora de llamar la atención sobre estos peligros con siete terribles promesas de IoT. y consejos de seguridad dudosos del gobierno, hay mucho de qué hablar.

Las casas inteligentes siguen siendo una pesadilla de seguridad

En 2015, se produjo una avalancha de personas que actualizaron sus artículos domésticos analógicos existentes con alternativas informatizadas y conectadas a Internet. Smart Home tech De Verdad despegó este año de una manera que parece que continuará en el Año Nuevo. Pero al mismo tiempo, también fue criticado (perdón) que algunos de estos dispositivos no son tan seguros.

La mayor historia de seguridad de Smart Home fue quizás el descubrimiento de que algunos dispositivos se enviaban con certificados de cifrado duplicados (y a menudo codificados) y claves privadas. Tampoco eran solo productos de Internet de las cosas. Se ha descubierto que los enrutadores emitidos por los principales ISP han cometido el peor de los pecados de seguridad..

Entonces, ¿por qué es un problema??

Esencialmente, esto hace que sea trivial para un atacante espiar estos dispositivos a través de un ataque de 'hombre en el medio' ¿Qué es un ataque de hombre en el medio? La jerga de seguridad explicada ¿Qué es un ataque de hombre en el medio? Explicación de la jerga de seguridad Si ha oído hablar de ataques de "hombre en el medio" pero no está seguro de lo que eso significa, este es el artículo para usted. , interceptando el tráfico sin dejar de ser detectado por la víctima. Esto es preocupante, dado que la tecnología Smart Home se utiliza cada vez más en contextos increíblemente sensibles, como la seguridad personal, la seguridad del hogar Nest Protect Review y Giveaway Nest Protect Review and Giveaway, y en la atención médica.

Si esto le suena familiar, es porque varios fabricantes importantes de computadoras han sido sorprendidos haciendo algo muy similar. En noviembre de 2015, se descubrió que Dell enviaba computadoras con un certificado raíz idéntico llamado eDellRoot. Las últimas computadoras portátiles de Dell están infectadas con eDellRoot. Las últimas computadoras portátiles de Dell están infectadas con eDellRoot. computadoras, tal como lo hizo Lenovo con Superfish. Aquí le mostramos cómo hacer que su nueva computadora Dell sea segura. , mientras que a fines de 2014, Lenovo comenzó a romper intencionalmente las conexiones SSL. Tenga cuidado con los propietarios de computadoras portátiles Lenovo: su dispositivo puede haber preinstalado Malware. Tenga cuidado con los propietarios de computadoras portátiles Lenovo. Su dispositivo puede haber preinstalado Malware. 2014 tenía malware preinstalado. para inyectar anuncios en páginas web encriptadas.

No se detuvo ahí. 2015 fue, de hecho, el año de la inseguridad de Smart Home, con muchos dispositivos identificados con una vulnerabilidad de seguridad obscenamente obvia.

Mi favorito era el iKettle Por qué el Hack iKettle debería preocuparte (incluso si no tienes uno) Por qué el Hack iKettle debería preocuparte (Incluso si no tienes uno) El iKettle es un hervidor habilitado para WiFi que aparentemente viene con una falla de seguridad enorme y enorme que tenía el potencial de reventar redes WiFi completas. (lo adivinó: un hervidor habilitado para Wi-Fi), que podría ser convencido por un atacante para revelar los detalles de Wi-Fi (en texto plano, nada menos) de su red doméstica.

Para que el ataque funcionara, primero tenía que crear una red inalámbrica falsificada que compartiera el mismo SSID (el nombre de la red) que la que tiene el iKettle conectado. Luego, conectándose a través de la utilidad Telnet de UNIX y atravesando algunos menús, puede ver el nombre de usuario y la contraseña de la red.

Luego estaba el Smart Fridge de Samsung conectado a Wi-Fi. El Smart Fridge de Samsung acaba de encenderse. ¿Qué tal el resto de su casa inteligente? El Smart Fridge de Samsung acaba de comenzar. ¿Qué tal el resto de su casa inteligente? La firma de pruebas Pen Test Parters, con sede en el Reino Unido, descubrió una vulnerabilidad con el refrigerador inteligente de Samsung. La implementación de encriptación SSL de Samsung no verifica la validez de los certificados. , que no pudo validar los certificados SSL y permitió a los atacantes interceptar potencialmente las credenciales de inicio de sesión de Gmail.

A medida que la tecnología de Smart Home se vuelve cada vez más convencional, y lo hará, puede esperar escuchar más historias de estos dispositivos que vienen con vulnerabilidades críticas de seguridad y son víctimas de algunos hacks de alto perfil..

Los gobiernos aún no lo entienden

Un tema recurrente que hemos visto en los últimos años es cuán completamente ajenos a la mayoría de los gobiernos cuando se trata de asuntos de seguridad..

Algunos de los ejemplos más atroces de analfabetismo infosec se pueden encontrar en el Reino Unido, donde el gobierno ha demostrado reiterada y sistemáticamente que simplemente no lo entiendo.

Una de las peores ideas que se está planteando en el parlamento es la idea de que el cifrado utilizado por los servicios de mensajería (como Whatsapp e iMessage) debe debilitarse, para que los servicios de seguridad puedan interceptarlos y decodificarlos. Como señaló mi colega Justin Pot en Twitter, es como enviar todas las cajas fuertes con un código maestro.

Imagínese si el gobierno dijera que cada caja fuerte debería tener un segundo código estándar, en caso de que los policías lo deseen. Ese es el debate de cifrado en este momento.

- Justin Pot (@jhpot) 9 de diciembre de 2015

Se pone peor. En diciembre de 2015, la Agencia Nacional del Crimen (la respuesta del Reino Unido al FBI) ​​emitió algunos consejos para los padres ¿Su hijo es un hacker? Las autoridades británicas piensan que ¿es su hijo un hacker? Las autoridades británicas piensan así La NCA, el FBI de Gran Bretaña, ha lanzado una campaña para disuadir a los jóvenes del delito informático. Pero su consejo es tan amplio que podrías asumir que cualquiera que lea este artículo es un hacker, incluso tú. para que sepan cuándo sus hijos están en camino de convertirse en ciberdelincuentes endurecidos.

Estas banderas rojas, según la NCA, incluyen “están interesados ​​en la codificación?” y “son reacios a hablar sobre lo que hacen en línea?”.

Este consejo, obviamente, es basura y fue ampliamente burlado, no solo por MakeUseOf, sino también por otras publicaciones tecnológicas importantes y la comunidad infosec.

¡@NCA_UK muestra un interés en la codificación como una señal de advertencia para el delito cibernético! Muy asombroso. https://t.co/0D35wg8TGx pic.twitter.com/vtRDhEP2Vz

- David G Smith (@aforethought) 9 de diciembre de 2015

Por lo tanto, el interés en la codificación es ahora una "señal de advertencia de delito cibernético". El NCA es básicamente un departamento de informática escolar de los años 90. https://t.co/r8CR6ZUErn

- Graeme Cole (@elocemearg) 10 de diciembre de 2015

Los niños que estaban 'interesados ​​en la codificación' crecieron para ser los ingenieros que crearon #Twitter, #Facebook y el sitio web #NCA (entre otros)

- AdamJ (@IAmAdamJ) 9 de diciembre de 2015

Pero era indicativo de una tendencia preocupante.. Los gobiernos no obtienen seguridad. No saben cómo comunicarse sobre las amenazas de seguridad y no entienden las tecnologías fundamentales que hacen que Internet funcione. Para mí, eso es mucho más preocupante que cualquier hacker o ciber-terrorista..

A veces tu Debería Negociar con terroristas

La mayor historia de seguridad de 2015 fue, sin duda, el hack de Ashley Madison Ashley Madison Leak No Big Deal? Piense de nuevo Ashley Madison Fuga ¿No es gran cosa? El sitio de citas en línea discreto Ashley Madison (dirigido principalmente a los cónyuges infieles) ha sido pirateado. Sin embargo, este es un problema mucho más grave de lo que se ha retratado en la prensa, con considerables implicaciones para la seguridad del usuario. . En caso de que lo hayas olvidado, déjame recapitular.

Lanzado en 2003, Ashley Madison era un sitio de citas con una diferencia. Permitía a las personas casadas conectarse con personas que en realidad no eran sus cónyuges. Su eslogan lo decía todo. “La vida es corta. Tener una aventura.”

Pero asqueroso como es, fue un gran éxito. En poco más de diez años, Ashley Madison había acumulado casi 37 millones de cuentas registradas. Aunque no hace falta decir que no todos estaban activos. La gran mayoría estaba inactiva..

A principios de este año, se hizo evidente que no todo estaba bien con Ashley Madison. Un misterioso grupo de piratas llamado The Impact Team emitió una declaración alegando que habían podido obtener la base de datos del sitio, además de un considerable caché de correos electrónicos internos. Amenazaron con liberarlo, a menos que Ashley Madison fuera clausurada, junto con su sitio hermano masculina establecida..

Avid Life Media, que son los propietarios y operadores de Ashley Madison y de la organización masculina, emitió un comunicado de prensa que minimizó el ataque. Hicieron hincapié en que estaban trabajando con las fuerzas del orden para localizar a los perpetradores, y fueron “capaz de asegurar nuestros sitios y cerrar los puntos de acceso no autorizados”.

Declaración de Avid Life Media Inc .: http://t.co/sSoLWvrLoQ

- Ashley Madison (@ashleymadison) 20 de julio de 2015

El 18th de agosto, Impact Team lanzó la base de datos completa.

Fue una demostración increíble de la rapidez y la naturaleza desproporcionada de la justicia en Internet. No importa cómo te sientas sobre hacer trampa (lo odio personalmente), algo se sintió completamente equivocado al respecto. Las familias fueron destrozadas. Las carreras se arruinaron instantánea y públicamente. Algunos oportunistas incluso enviaron a los suscriptores correos electrónicos de extorsión, por correo electrónico y por correo, ordeñándolos de miles. Algunos pensaron que sus situaciones eran tan desesperadas que tuvieron que quitarse la vida. Estuvo mal. 3 razones por las que el hack de Ashley Madison es un asunto serio 3 razones por las que el hack de Ashley Madison es un asunto serio Internet parece extasiado por el hack de Ashley Madison, con millones de detalles de adúlteros y posibles adúlteros pirateados y publicados en línea, con artículos publicados individuos encontrados en el volcado de datos. Hilarante, ¿verdad? No tan rapido.

El truco también destacó el funcionamiento interno de Ashley Madison..

Descubrieron que de los 1.5 millones de mujeres que estaban registradas en el sitio, solo alrededor de 10,000 eran seres humanos genuinos reales. El resto eran robots y cuentas falsas creadas por el personal de Ashley Madison. Fue una ironía cruel que la mayoría de las personas que se inscribieron probablemente nunca conocieron a nadie a través de él. Era, para usar una frase ligeramente coloquial, un 'festival de salchichas'.

La parte más vergonzosa de tu nombre que se filtró del hack de Ashley Madison es que coqueteaste con un bot. por dinero.

- verbal spacey (@VerbalSpacey) 29 de agosto de 2015

No se detuvo ahí. Por $ 17, los usuarios podrían eliminar su información del sitio. Sus perfiles públicos se borrarían y sus cuentas se eliminarían de la base de datos. Esto fue utilizado por personas que se inscribieron y luego se arrepintieron.

Pero la filtración mostró que Ashley Maddison no actualmente eliminar las cuentas de la base de datos. En cambio, simplemente estaban ocultos del Internet público. Cuando se filtró su base de datos de usuarios, también lo fueron estas cuentas.

BoingBoing days Ashley Madison dump incluye información de personas que pagaron AM para eliminar sus cuentas.

- Denise Balkissoon (@balkissoon) 19 de agosto de 2015

Quizás la lección que podemos aprender de la saga Ashley Madison es que a veces vale la pena aceptar las demandas de los hackers.

Seamos honestos. Avid Life Media sabía lo que había en sus servidores. Sabían lo que habría pasado si se hubiera filtrado. Deberían haber hecho todo lo posible para evitar que se filtre. Si eso significaba cerrar un par de propiedades en línea, que así sea.

Seamos francos. La gente murió porque Avid Life Media tomó una posición. Y para qué?

A menor escala, se puede argumentar que a menudo es mejor satisfacer las demandas de los piratas informáticos y los creadores de malware. Ransomware es un gran ejemplo de esto. No caiga mal de los estafadores: una guía para ransomware y otras amenazas No caiga mal de los estafadores: una guía de ransomware y otras amenazas. Cuando alguien está infectado y sus archivos están encriptados, se les pide a las víctimas un 'rescate' para descifrarlos. Esto generalmente está en los límites de $ 200 más o menos. Cuando se paga, estos archivos generalmente se devuelven. Para que el modelo de negocio de ransomware funcione, las víctimas deben tener alguna expectativa de que puedan recuperar sus archivos.

Creo que en el futuro, muchas de las compañías que se encuentran en la posición de Avid Life Media cuestionarán si una postura desafiante es la mejor para tomar.

Otras lecciones

2015 fue un año extraño. No solo estoy hablando de Ashley Madison, tampoco.

VTech Hack VTech es hackeado, Apple odia las tomas de auriculares ... [Tech News Digest] VTech es hackeado, Apple odia las tomas de auriculares ... [Tech News Digest] Los hackers exponen a los usuarios de VTech, Apple considera quitar el conector de auriculares, las luces de Navidad pueden ralentizar su Wi -Fi, Snapchat se mete en la cama con (RED) y recuerda The Star Wars Holiday Special. fue un cambio de juego. Este fabricante de juguetes para niños con sede en Hong Kong ofreció una tableta cerrada, con una tienda de aplicaciones para niños, y la capacidad de los padres de controlarla de forma remota. A principios de este año, fue pirateado, con más de 700,000 perfiles de niños filtrados. Esto demostró que la edad no es una barrera para ser víctima de una violación de datos.

También fue un año interesante para la seguridad del sistema operativo. Si bien se plantearon preguntas sobre la seguridad general de GNU / Linux ¿Linux ha sido víctima de su propio éxito? ¿Linux ha sido víctima de su propio éxito? ¿Por qué el director de la Fundación Linux, Jim Zemlin, dijo recientemente que la "edad de oro de Linux" podría llegar a su fin pronto? ¿Ha fallado la misión de "promover, proteger y avanzar Linux"? , Windows 10 hizo grandes promesas de ser el Windows más seguro de la historia 7 maneras en que Windows 10 es más seguro que Windows XP 7 formas en que Windows 10 es más seguro que Windows XP Incluso si no le gusta Windows 10, realmente debería haber migrado desde Windows XP por ahora. Le mostramos cómo el sistema operativo de 13 años ahora está plagado de problemas de seguridad. . Este año, nos vimos obligados a cuestionar el dicho de que Windows es inherentemente menos seguro.

Basta decir que 2016 será un año interesante.

¿Qué lecciones de seguridad aprendiste en 2015? ¿Tienes alguna lección de seguridad para agregar? Déjalos en los comentarios a continuación.




Nadie ha comentado sobre este artículo todavía.

Cómo dividir la pantalla en iPad (y los mejores consejos y trucos al hacerlo)
iPhone y iPad
5 aplicaciones de grabadora de voz para iPhone con muchas funciones
iPhone y iPad
Los 3 mejores lugares para comprar un iPhone usado o restaurado
iPhone y iPad
Sobre tecnología moderna, simple y asequible.
Tu guía en el mundo de la tecnología moderna. Aprenda a usar las tecnologías y los dispositivos que nos rodean todos los días y aprenda a descubrir cosas interesantes en Internet.